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基于 区 块 链 的 身份 认证 机 制 的 效率 优化 方法 研究 


汤 凌 柯 ， 许 ” 敏 ， 金 玉 荣 
(江南 计算 技术 研究 所 ,江苏 无 锡 214083) 


摘 要 : 基于 区 块 链 的 去 中 心 化 PKI 使 用 区 块 链 替 代 传 统 的 CA， 借 助 区 块 链 的 权威 性 和 公开 性 ， 实 现 了 认证 的 去 中 
心 化 。 目 前 的 研究 大 多 使 用 遍历 区 块 链 的 方法 查询 身份 一 公 钥 对 ， 从 而 验证 某 公 钥 是 否 属 于 通信 对 方 ， 效 率 较 低 。 提 
出 了 一 种 基于 密码 累加 器 的 身份 认证 方式 ， 将 链 上 身份 和 公 铀 信息 映射 为 累加 值 ， 实 现 认证 功能 的 同时 提高 了 身份 一 
公 铀 对 的 验证 效率 ， 同 时 解决 了 区 块 链 体积 不 断 增 长 的 情况 下 轻 节点 存储 空间 不 够 的 问题 ， 并 通过 实验 验证 了 该 方法 
的 可 行 性 和 有 效 性 。 
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Research on methods of improving efficiency of identity authentication based on blockchain 


Tang Lingtao, Xu Min, Jin Yurong 
(Jiangnan Institude of Computing Technology, Wuxi Jiangsu 214083, China) 


Abstract: Decentralized public key infrastructure based on blockchain abandons certificate authority. With authoritativeness 
and publicity of the blockchain, this infrastructure is able to implement decentralized identity authentication. Many researches 
chose to traverse the entire blockchain to look up for a specific id-pk pair and then verify whether the public key belongs to 
someone who claims it. However, this method is obviously inefficient. This paper proposed an identity authentication method 
based on cryptographic accumulators, which map identity, public key and auxiliary information to one accumulated value. 
This method improved the authentication efficiency, especially when current blockchain was large. In addition, it solved the 
problem that lightweight clients do not had enough storage capacity when the size of blockchain was continuously increasing. 


Some experiments are also carry to measure this method and verify its feasibility and correctness. 
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0 引言 过 程 中 ， 采 用 遍历 区 块 链 的 方法 查询 证 书 ， 再 检查 该 公 钥 是 否 
属于 其 所 声明 身份 ， 最 后 发 送 挑战 信息 ， 通 过 验证 数字 签名 判 

公 钥 基础 设施 (public key infrastructure,PKD 在 实际 应 用 中 断 对 方 是 否 持 有 匹配 的 私 钥 。 然 而 区 块 链 作为 一 条 只 可 添加 的 

是 一 套 软 硬 件 系统 和 安全 策略 的 集合 ， 提 供 一 整套 安全 机 制 ， 公开 链 ， 其 特性 保证 了 数据 量 将 不 断 增长 ， 近 几 年 区 块 链 的 体 
使 用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ， 以 证 书 为 基 只 已 超过 100 Gb， 并 且 未 来 仍 会 不 停 增 长 。 届 时 ， 遍 历 区 块 链 


础 ， 通 过 一 系列 的 信任 关系 进行 通信 和 电子 商务 交易 。 作 为 目 的 方法 效率 将 愈加 低下 ， 若 仍 沿 用 传统 方法 ， 身 份 认证 的 所 需 
前 网 络 安全 建设 的 基础 与 核心 ，PKI 是 电子 商务 安全 开展 的 基 时间 将 难以 满足 实际 需求 ， 同 时 对 于 诸如 手机 等 载体 ， 无 法 存 
本 保障 。 一 个 传统 的 PKI 系统 包括 证 书 机 构 CA、PKI 策略 、 储 如 此 庞大 的 数据 ， 而 密码 累加 器 (cryptographic accumulator) 


软 硬 件 系 统 、 注 册 机 构 RA、 证 书 发 布 系统 和 PKI 应 用 等 。 -49 的 引入 则 可 解决 身份 认证 过 程 中 成 员 验 证 效率 低下 的 问 

于 传统 的 依托 CA 为 中 心 的 PKI 在 身份 认证 方面 会 产生 单 点 失 题 。 密 码 累 加 器 体制 (accumulator scheme) 包 含 一 种 算法 ， 可 将 

效 、 入 侵 目 标明 显 等 问题 ， 催 生 了 去 中 心 化 PKI 的 产生 0 。 个 包含 多 元 素 的 集合 映射 为 一 个 累加 值 ， 并 且 提 供 一 个 体积 
区 块 链 5-71 技 术 自 从 2008 年 中 本 聪 提出 比特 币 后 倍 受 关 较 小 的 见证 (witness)， 证 明 一 个 给 定 的 值 确实 属于 该 集合 。 

注 ， 作 为 一 种 不 可 窜改 的 公开 账本 ， 被 广泛 用 于 在 线 支 付 、 分 本 文 从 上 述 现状 出 发 ， 提 出 一 种 利用 密码 累加 器 实现 去 中 

布 式 存储 和 防伪 证 明 等 领域 819。 而 去 中 心 化 PKI 实现 方法 之 心 化 PKI 体制 中 身份 认证 的 效率 优化 方法 ， 主 要 研究 密码 累加 


正 是 利用 区 块 链 存放 身份 和 公 钥 等 信息 ， 在 实现 身份 认证 的 ”器 的 定义 、 实 现 原理 与 特征 对 比 ， 及 其 结合 区 块 链 应 用 于 成 员 
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验证 


1 ”密码 累加 器 


1.1 


加 器 (one-way 


交换 性 (quasi-commutativeness) 


functions)， 这 
希 函数 不 同 ， 


单 向 累加 器 
密码 累加 器 的 概念 源 于 Benaloh 等 人 图 首 次 提 
单 向 累加 器 被 定义 为 一 
的 单 向 哈 希 函数 (one-way hash 
里 的 单 向 哈 希 函数 和 常见 的 只 有 一 个 自 变 量 


accumulators)， 


E 的 方法 ， 提 升 身份 认证 的 效率 。 


出 的 单 向 累 
入 具有 拟 


的 哈 


考虑 接收 两 个 自 变 量 输入 的 情况 。 


定义 1 
件 的 属于 函数 
为 安全 变量 ): 


a) 对 任何 整数 4+， 以 及 任 


间 内 可 计算 。 


单 向 哈 希 函数 。 一 簇 单 向 
集 { 攻 han 的 无 限 序列 , 其 中 


丛 希 函数 是 满足 下 列 条 


={h :Xx FL} kk 


何 he7h，h(,) 在 4 的 多 项 式 时 


b) 对 任何 多 项 式 时 间 的 算法 4， 满足 


Pr[In 


;xe 


Xi yy 


Yix ee A ,x,y,y): 


上 述 定 


即 Z,V 如 


及 人 妨 = 及 Ce <negl() 
其 中 : 概率 取决 于 及 ,yy 的 随机 选择 和 .4 的 随机 输出 。 


义 看 出 ， 


单 向 哈 希 函数 
合 定 ,Zz 王 NO 的 计算 可 在 多 项 式 时 间 内 守成 并 若 在 给 


二 


五 


计算 性 和 单 向 性 ， 


定 *yy 的 情况 下 , 要 找到 满足 成 妨 = 及 Cy) 的 概率 小 到 几 
即 不 同 输入 生成 的 输出 间 的 冲突 (collisions) 很 小 。 


乎 可 以 忽略 ， 
定义 2 
交换 性 ， 当 下 


拟 交 换 性 。 
式 成 立 : 


一 个 函数 :XxY 一 X 被 称 为 


ChinaXiv 合 作 期 刊 
汤 凌 契 ， 等 : Pe A 
定义 1 中 的 单 向 性 是 指 ， 给 定 值 3%,»%,…») ， 它 们 的 累加 


accu’ 


值 z ， 以 及 另 一 个 值 y ， 攻 击 者 难以 找到 对 应 见证 使 得 
。 而 强 单 向 性 是 指 ， 给 定 G4,%,…%) 和 z ， 难 以 找 
到 数值 对 Gaceu”) 使 得 hacew,y)=z， 并 上 且 y (yy2,…》) 。 
1.3 无 冲突 累加 器 

Baric 等 人 00 在 构建 FSS 机 制 (fail-stop scheme) 时 提出 了 ， 
密码 累加 器 需要 更 严格 的 性 质 ， 在 强 单 向 的 性 质 下 ， 攻 击 者 仍 
可 能 精心 伪造 成 员 值 (yy …,y,) ， 从 而 为 了 构造 见证 acew' 。 
因此 引入 无 冲突 累加 器 (collision-free accumulator), 在 强 单 向 性 
基础 上 ， 成 员 值 (7,%…,y) 无 需 给 定 。 为 了 引入 无 冲突 性 ， 首 
先 定义 一 般 意义 的 累加 器 : 

定义 4 累加 器 运行 机 制 。 一 个 密码 累加 器 的 运行 机 制 忠 
是 一 个 包含 4 个 多 项 式 时间 算 法 (Gen, Eval, Wit, Ver) 的 四 元 组 ， 
其 中 : 
一 一 密 钥 生成 算法 Gen， 一 个 用 以 生成 初始 参数 的 概率 算 
Gen 接收 两 个 参数 : 12 ， 一 个 累加 器 门限 N ， 
人 0 N 个 元 素 的 集合 使 用 累 


h(accu', y')=z 


五 


一 中 


法 。 个 安全 变量 


加 器 ， 安全 性 则 不 外 保证 ; 时 中 累加 器 密 钥 ， kekyo 
一 一 求 值 算法 Eval， eed 计算 集合 
L={y,yoywhN'SN 中 的 所 有 值 的 累加 值 ， 其 中 


其 ey,k EN .Eval 输入 (Kk, 7 ,yw) ; 输 出 一 个 累加 值 和 EZ 9 
和 一 些 附加 信息 aax， 用 做 其 他 算法 的 输入 。 注 意 到 Eval 对 相 


有 拟 


(vxe X)Vy,, y» eyY[f (fx, 1), »)=f (F(x,y,), 7)] 


此 可 见 万， 其 


的 变化 而 改变 。 
单 向 累加 
多 个 元 素 的 集 
供 一 个 证 明 ， 

员 验 证 的 功能 


有 具 有 拟 交换 性 的 函数 ， 对 同一 个 集合 
行 哈 希 运 算 ， 在 初始 值 不 变 的 情况 下 ， 计 算 结果 不 随 计算 顺序 


器 
映射 为 一 


入 
局 
和 该 证 


是 
a 
通过 y 


1.2 强 单 向 累加 器 


定义 1 表 


突 的 概率 极 小 。 


明了 单 向 哈 希 函数 在 变量 按 规定 选 
但 未 考虑 攻击 者 可 外 
一 个 y &Y 满足 z=h(z,y) ， 从 而 伪造 凭证 。 


具有 拟 交换 性 


中 的 值 依次 进 


的 单 向 函数 ， 其 可 将 一 


个 包 全 


个 常数 值 z， 并 为 每 个 成 员 ys 工 提 
明 可 以 得 到 累加 值 z ， 从 而 实现 成 


取 时 ， 找 到 冲 
不 按 指定 范围 取 值 ， 找 到 
为 了 增 


引入 强 单 向 ( strongly one-wayness ) 外 的 定义 。 
定义 3 强 单 向 哈 希 函数 。 


一 簇 强 单 向 哈 希 函数 是 满足 下 列 条 件 的 属于 
={h :Xxk 这 2Z.}(k 为 安全 变量 ): 
整数 4 ， 以 及 人 


的 无 限 序列 ， 


a) 对 任何 


间 内 可 计算 。 


b) 对 任何 


其 中 人 


多 项 式 时 间 的 算法 4 ， 


E 何 


函数 集 {7 han 


及 eH，h(,) 在 4 的 多 项 式 时 


满足 


Pr[h. ;xe Xs ye ;x',y") € A(x, y): 


其 中 : 概率 取决 于 ,x,y 的 随机 选择 和 .4 随机 输出 。 


y AA X,Y) =h (x,y)] <negl(4) 


同 输入 输出 同一 个 累加 值 ， 而 附加 信息 可 能 不 同 。 

一 一 见证 生成 算法 Wit， 一 个 根据 相关 信息 生成 成 员 见 证 
的 概率 算法 。Wit 输入 一 个 累加 器 密 钥 tekw ,一 个 值 y, eX 以 
及 Eval le yw) 输出 的 附加 信息 aux; 若 y 确 实在 工 中 ， 
输出 一 个 见证 ws 六 ， 用 于 证 明 yy 被 累计 入 z ， 否 则 ， 返 回 符 


二 


个 通过 见证 来 验证 某 值 成 员 身 份 的 
确定 性 算法 。Ver 输入 (k,y,w,z) ， 根 据 见 证 风 来 验证 是否 被 
累计 入 z ， 输 出 Yes 或 No。 
一 般 累加 器 可 进一步 定义 无 冲突 累加 器 。 

定义 5 无 冲突 性 。 一 个 累加 器 机 制 被 称 为 N 次 无 冲突 当 
其 满足 下 述 性 质 : 对 任意 整数 4 和 任意 多 项 式 时 间 概 率 算法 4 
满足 


法 Ver， 


Pr 有 < Gen(D,N); (ys yy yw) € A(D,N,k); 


(z,aux) ¢— Eval(k, y,,..., yn): 

Oise yy EF) NO {1 yy DA (Ver(z, y',w)=Yes)] < negl(2) 
其 中 : 概率 取决 于 Gen、Eval 和 .4 的 随机 输出 。 如 果 对 任何 正 
整数 N， 一 个 累加 器 机 制 都 是 N 次 无 冲突 的 ， 那 么 它 是 无 冲突 
的 。 


有 无 冲突 性 的 累加 器 被 称 为 无 冲突 累加 器 ， 可 防止 攻击 
者 通过 构建 虚假 成 员 集 合 来 伪造 见证 。 
1.4 动态 累加 器 

在 成 员 认证 方面 的 应 用 ， 要 求 所 选择 的 密码 累加 器 不 仅 能 
使 验证 者 进行 高 效 的 身份 认证 ， 且 保证 安全 性 ， 当 成 员 集合 发 
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生变 化 时 , 累计 值 和 各 成 员 的 见证 也 能 以 高 效率 更 新 , 扣 
效 成 员 撤 销 073;， 否则， 每 当 添加 或 减少 成 员 时 ， 所 有 成 
要 重新 计算 一 次 当前 累计 值 和 各 自 的 见证 ， 累 加 器 在 成 
动态 变化 的 情况 下 ， 无 法 高 效 运作 来 应 对 实际 应 用 需 
引入 动态 累加 器 的 定义 钙 ， 在 原 有 四 元 组 基础 上 添加 增 、 
更 新 的 操作 : 

定义 6 动态 累加 器 运行 机 制 。 

一 个 动态 累加 器 的 运行 机 制 0% 呈 是 一 个 包含 7 个 多 项 式 时 
间 算 法 (Gen, Eval, Wit, Ver Add, Del, Upd) 的 七 元 组 ,其 中 : 

一 一 Gen, Eval, Wit, Ver 同 定 义 4， 属 于 基本 架构 的 内 容 。 

一 一 Add， 元 素 添加 算法 ， 通 常 是 确定 性 算法 。 输 入 一 个 
累加 器 密 钥 x ， 一 个 少 于 VN 个 元 素 的 集合 工 的 累计 值 z ， 其 中 
LEYh,zeZ， 以 及 要 新 增 的 值 yeY; 返回 集合 ZU{7) 的 新 累 
计 值 z，y 的 见证 weW， I 

一 一 Del, 元 素 柚 除 算法 , 通常 是 确定 性 算法 。 输入 一 个 累 
加 器 密 铀 上 ， 一 个 少 于 N 个 元 素 的 集合 L 的 累计 值 z ， 其 中 
LcX,zeZ， 以 及 要 删除 的 值 YeL; 返回 集合 ZL\{y} 的 新 累计 
值 >， 和 Upd 算法 所 需 的 更 新 信息 auxnu 。 

一 一 Upd， 见 证 更 新 算法 ， 是 确定 性 算法 ， 用 于 在 对 工 中 
元 素 进行 添加 或 删除 操作 后 , 更 新 集合 中 原 有 的 每 个 元 素 yeY 
的 见证 ws 网 。 Upd 接收 (yw,op,aux。,) 作为 输入 ， 其 中 op 为 
Add 或 Del; 返回 一 个 更 新 后 的 见证 w ,用 于 证 明 被 累计 入 z。 
1.5 特征 与 对 比 
首先 介绍 密码 累加 器 的 几 个 重要 特点 ， 作 为 评价 及 选用 的 
衡量 标准 。 

动态 性 : 密码 累加 器 具备 高 效 的 元 素 增删 和 见证 更 新 算法 ， 
详 见 定义 6。 

强健 性 : 密码 累加 器 的 管理 员 无 需 可 信 ， 限 门 信息 无 法 被 
来 伪造 见证 。 

普遍 性 : 密码 累加 器 不 仅 可 提供 成 员 见 证 ， 也 可 提供 非 成 
证 明 。 

安全 假设 : 在 安全 假设 声明 的 前 提 下 ， 密 码 累 计 器 的 成 员 
验证 功能 不 受 攻 击 者 影响 。 

紧 致 性 : 密码 累加 器 能 将 一 个 大 集合 映射 到 数量 级 较 小 的 
累计 值 ， 有 具体 表现 为 累加 值 和 见证 的 所 需 存储 空间 小 ， 以 及 更 
新 算法 的 时 间 复 杂 度 低 。 

一 些 密码 累加 器 的 性 能 与 特点 如 表 1 所 示 《〈《 其 中 为 集合 
中 元 素 个 数 )。 


i 
汇 
各 


了 
江 
J 
mr 


河 
一 
和 下 现 型 


部 
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lsy 
过 
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Se 


党 
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表 1 各 类 密码 累加 器 特点 
密码 累加 器 动态 性 强健 性 普遍 性 安全 假设 见证 /累加 器 体积 
BeMa[8] x V 尖 强 RSA 假设 + 随机 论 言 O(1) 
BarPif[ll] XX V x 强 RSA 假设 O() 
CamLys[12] V xX xX 强 RSA 假设 O(D 
LLX[15] V 4 V 强 RSA 假设 O(D 
AWSMI[16] V x < pairings O() 
CHKO[14] V V/ V 抗 碰撞 哈 希 O(log(n)) 


Chi V 合 乍 期 二 > 
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2 ”基于 密码 累加 器 的 认证 方法 


2.1 去 中 心 化 成 员 验 证 
单 向 累加 器 4 的 拟 交换 性 保证 了 选 定 了 一 个 初始 值 xe 六 


后 ， 对 于 集合 


中 的 值 3 ,3%,…,yeY ， 累 加 哈 希 值 


z=h(h(hC :hh h(x, 7) 7) 3), 1) 1 ) 
不 随 计算 时 y; 的 顺序 而 发 生 改 变 ， 即 对 上 述 累 加 值 z 和 了 的 一 


个 任意 排列 (3,1, 仍 有 
z=h(h(hC ehhh Yi) Ye) Ya) yi,)» i, )» ),) 


im 


此 外 ,大 的 单 向 性 保证 了 已 知 xsX 和 yse7 , 且 给 定 y eY ， 
找 出 一 个 xeX 使 得 hx,y)=h(x,y") 的 概率 可 忽略 不 计 。 


N12 Ym E 


由 此 累加 器 可 用 于 成 员 验 证 ， 同 上 ， 已 知 一 个 集合 中 的 值 


Y ， 则 可 计算 所 有 元 素 的 累加 哈 希 值 z 。 手 执 3 的 


集合 成 员 可 

所 以 ， 
合 内 ,对 方 
的 见证 。 若 


XY 满足 z=h(x,y) ， 而 这 在 一 定 假设 条 件 下 是 几乎 无 法 实现 的 。 

单 向 累加 器 的 这 种 使 用 方法 并 不 能 隐藏 用 户 的 个 人 信息 
7 ， 因 为 所 有 > 都 必须 用 来 计算 累加 值 z， 但 减轻 了 用 户 负担 ， 
无 需 维护 成 员 列表 ， 从 而 显著 节省 了 存储 空间 。 并 且 区 别 于 传 
统 设立 一 个 中 心机 构 维护 一 张 所 有 成 员 的 列表 ， 累 加 器 的 使 用 


以 计算 其 他 所 有 y.(i# 四 的 累加 值 z 。 

通过 出 示 ”多 ， 该 成 员 可 以 向 他 人 证 明 自己 处 于 集 
则 可 验证 , 车 有 z=h(%,yy)， 则 yeY， 且 z 称 做 
非 集合 成 员 想 伪造 成 员 身 份 》， 则 其 必须 构造 一 个 


可 以 让 用 户 


间 互 相 证 明 身 份 ， 无 需 某 中心 参 与 。 


2.2 设计 基于 密码 累加 器 的 身份 - 公 钥 对 认证 方式 


传统 通信 中 A 向 B 证 明 身份 的 步骤 如 下 : 


aA 向 


b)B 从 区 块 链 《或 权威 第 三 方 ) 查询 得 到 匹配 的 登记 信 
(ids,pks) ， 证 明 公 钥 确 实 属 于 该 身份 ; 
cB 向 A 发 送 随机 挑战 字符 串 ch，A 对 包含 该 字符 串 的 
进行 数字 签名 o =sigGka,ch) ; 


d)B 用 


明 A 持 有 私 钥 st, ， 即 A 拥有 身份 id， 。 


B 发 送 (ids, pka) ， 宣称 公 钥 pka 属于 身份 ids; 


[iy 


mk 


Pk 对 数字 签名 o 进行 验证 ， 若 verpk4,o0,ch)=1 ， 则 证 


然而 在 
的 不 同 节点 
完整 节点 ， 


基于 区 块 链 的 去 中 心 化 身份 认证 体制 中 ， 对 应 于 B 
状态 ， 密 码 累 加 器 的 引入 发 挥 不 同 的 作用 。 若 了 为 
则 必须 查询 所 有 本 地 存储 的 链 上 信息 ， 人 遍历 整 条 区 


块 链 , 认证 效率 随 着 区 块 链 体 积 增 大 不 断 降 低 ; 若 B 为 轻 节点 ， 


则 没有 足够 
除非 向 完整 
下 的 问题 。 
本 文 将 
行 定义 4 中 


的 空间 来 存储 完整 区 块 链 ,无 法 正常 进行 通信 认证 ， 
节点 请 求 查 询 ， 而 这 将 再 次 面临 遍历 区 块 链 效 率 低 


步骤 a) 和 b) 改 进 为 : A 向 B 发 送 (apkw)，B 进 
的 验证 算法 ， 通 过 运算 : 


Ver(k, h(id,, pka), wa,z)=0orl 


判断 pk 是 
间 复 杂 度 从 
只 需 存 储 累 
岂 存储 的 空 


否 属于 ida。 此 方法 通常 能 将 步 又 b) 中 的 单 步 验证 时 


O(n) 降 至 O(log(n)) 或 0(1)。 同 时 ,利用 密码 累加 器 ， 
加 值 等 信息 ， 即 可 同样 实现 身份 认证 的 功能 ， 将 本 
间 复 杂 度 O(n) 降 至 O(log(n)) 或 00), 使 得 轻 节点 能 


录用 稿 


正常 加 入 认证 网 络 参与 工作 。 
2.3 ”区 块 链 上 的 累加 器 运行 方法 


结合 现 有 的 基于 区 块 链 的 去 中 心 化 身份 认证 体制 以 及 密码 


累加 器 运行 机 于 


， 本 文 引 入 累加 器 以 提高 身份 认证 效率 和 解决 


双 节 点 本 


也 存储 空间 限制 问题 ， 相 较 于 普通 区 块 链 ， 在 区 块 的 


交易 信息 中 添加 “当前 累加 值 * 这 一 条 目 
地 维护 自身 见证 。 
本 节 主 要 描述 创 世 


又 块 开 始 累 加 器 的 色 


， 并 |] 


F 且 每 个 参与 节点 本 


上 建 方法 ， 以 及 身份 


注册 、 废 除 、 更 新 
2.3.1 累加 器 初始 创建 


矿工 节点 创建 安全 参数 ，k -Gen(17N) 


、 验 证 过 程 中 区 块 链 上 累加 器 的 运行 方法 。 


， 并 输入 一 张 含 m 


个 元 素 的 成 员 列 表 ( m>1 ， 至 少 含 该 矿工 本 身 ), 列 表 元 素 为 


(id;,ph) 二 元 组 。 通 过 (zo,aux) < Eval(k, yy， 


… wm) 得 到 初始 累加 


值 , 将 其 放 入 “ 创 世 区 块 ” 


向 全 网 ) 播 。 这 里 y = hash(id;, pk;) a 


所 有 接收 者 验证 zx 的 色 
并 向 邻 节点 传播 ， 并 计算 各 自 
弃 该 区 块 。 算 法 描述 如 算法 1 所 示 。 
算法 1 累加 器 初始 创建 

for creator: 


k=Gen( LN) 


Zo,aUuX 二 Eval(k, 用 ,7 Yi) 
for i in range(len(initial idlisb): 
# initial_idlist= (id,id,,...,id,,) 


# initial_pklist= (Pk, pk,,..., pk,,) 


current_transaction[i][‘accu’]= zo 
genesis_block.add(current_transaction) 
proof=PoW(genesis_block_header) 
genesis_block.add(proof) 
wi = Wit(k, yi,aux) # 计 算 自 


blockchain.append(genesis_block) 
broadcast genesis_block 
for neighbor_i in node.neighbors: 


When receive genesis_block from node: 


建 是 否 正确 。 若 正确 ， 同 步 该 区 块 
见证 站 二 Witk yauo ; 否则 ， 抛 


current transaction[i[ identity”]= initial idlist[j] 


current_transaction[i][‘publickey’]= initial_pklist[j] 


身 见 证 , 设 其 编号 为 1 


if current_block is constructed correctly: 


# 该 区 块 加 入 本 地 区 块 链 


blockchain.append(genesis_block) 


# 根 据 接收 区 块 中 新 增 身份 更 新 自 


for (id,pk) in genesis_block: 


身 见证 


w"™ =Upd(k, (id, pk), w,™", Add, aux Ma) 


else: 
abort genesis_block 


2.3.2 身份 id 注册 


当 矿工 通过 某 节点 的 身份 注 帮 


内 申请 ， 则 


其 将 (id,pk) 加 入 累 


加 器 ， 计算 (Ziew» W, aUX Na) < Add(k, zoa, (id, pk)) ， 从 而 得 到 新 累计 值 


z 以 及 上 
入 新 挖 的 区 块 。 


份 id 的 对 应 见证 w 。 最 后 ， 矿 工 将 信息 


(id, pk,a,w) 加 


所 有 区 块 接 收 者 验证 z 计算 是 否 正确 。 若 是 ， 则 将 


自身 存 


hiaaV i 
[ma 
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储 区 块 链 上 的 累计 
Ww < Upd(k,(id, pk),w,,Add,aux,) 更 新 
弃 该 区 块 。 算 法 描述 如 算法 2 所 示 
算法 2 身份 注册 


for miner in miners: 


值 更 新 为 z ， 


When receive (id, pk,sig(sk,id),register): 
current_transaction=[] 
让 (id,pk) is well constructed: 
current_transaction.add( (id, pk) ) 


# 生 成 新 累加 值 


(Znew» W, AUX aga ) = Add(k, zuia, (id, pk)) 


current_transaction.add( ze ) 
current_block.add(current_transaction) 
proof=PoW(current_block_header) 
current_block.add(proof) 

# 更 新 自身 见证 ， 设 其 编号 为 j 


w,™™ =Upd(k, (id, pk), w,™, Add, aux as) 


blockchain.append(current_block) 
broadcast current_block 
for neighbor_i in node.neighbors: 
when receive current_block from node: 
if current_block is constructed correctly: 
blockchain.append(current_block) 
w™ =Upd(k, (id, pk), w.™", Add, aux na) 
else: 
abort current_block 
2.3.3 身份 id 废除 
矿工 通过 Ver(k,(id;pk),w,z)=1 验证 该 身份 在 累加 
证 正确 ， 将 该 节点 身份 从 累加 器 中 移 除 ， 


身 存 储 的 见证 ; 


并 通 


zw 和 该 注册 ia 的 见证 w 


器 中 。 若 验 


新 计算 累计 值 


慎 
(Znew» AUX pa) €— Del(k, zoa, (1d,pk)) ， 并 将 2 加 入 新 挖 的 区 . 
失败 ， 则 中 止 。 


块 ， 若 验证 


所 有 区 块 接收 者 验证 > 计算 是否 正确 。 若 是 ， 
储 区 块 链 上 的 累计 值 更 新 为 z ， 
WUpd(k,(id,pk),wi,Del,auxpa) 更 新 自身 存储 的 见证 ; 
该 区 块 。 
算法 3 身份 废除 


for miner in miners: 


When receive (id,pk,w,sig(sk,id),revoke) : 


current_transaction=[] 


# 验 证 通过 说 明 该 身份 确实 已 注册 
# 且 发 布 废除 命令 的 用 户 拥有 对 应 私 角 


则 将 自身 有 
并 ] 


否则 ， 


抛弃 


if Ver(k, (id, pk), w, z)=1 and Ver(sig(sk,id),pk,id)=1 : 


current_transaction.add( (id, pk,revoked) ) 


# 生 成 新 昧 加 值 和 该 注册 id 的 见 训 
Zhew» AUXDa = Del(k, zya, (id, pk)) 


current_transaction.add( zev ) 
current_block.add(current_transaction) 
proof=PoW(current_block_header) 
current_block.add(proof) 


Ew 
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# 更 新 自身 见证 ， 设 其 编号 为 j 
Wi =Upd(k, (id, pk), w,™, Del, auxpa) 


blockchain.append(current_block) 
broadcast current_block 

else: 
abort request (id, pk,w, sig(sk,id ),revoke) 

for neighbor_i in node.neighbors: 
when receive current_block from node: 

if current_block is constructed correctly: 
blockchain.append(current_block) 
Wo =Upd(k, (id, pk), w."", Del, aux pu) 

else: 


abort current_block 


2.3.4 公 铀 更 新 PK 一 pk' 
等 价 于 分 别 进行 身份 废除 和 注册 这 两 步 。 


上 
器 中 移 除 。 


累加 器 。 
2.3.5 身份 验证 


用 户 提 供 新 公 钥 pk' ,矿工 根据 算法 2 将 Gd,pk') 注 几 


户 出 示 见 证 w， 矿 工 根据 算法 3 将 idpk) 废除 ， 从 累加 


凡 ， 加 入 


给 定 身份 公 钥 和 见证 (id,pk,w) ,任何 用 户 都 可 通过 运行 验 


证 算法 Ver(k,(id,pk),w,z)=0or1 判断 该 身份 是 否 合法 。 


3 实验 


3.1 区 块 构建 


本 文采 用 文献 [8,9] 中 的 强 RSA 安全 假设 的 密码 累加 器 , 基 


于 区 块 链 生 成 方法 修改 区 块 构建 代码 ， 部 分 代码 如 下 ， 所 得 区 


块 结构 如 图 1 所 示 。 
def new_block(self, proof, pre_hash): 
block = { 


index': len(self.chain) + 1, 

‘timestamp': time.time(), 

'transactions': self.current_transactions, 

Proof: proof, 

'pre_hash': pre_hash or self.hash(self.chain[-1]), 
} 
#update accumulated value and witness 


if len(self.chain) > 0: 


idpkbind = self.current_transactions[0]["identity'] 


self.current_transactions[0]['publickey'] 
idpkhash = self.hash(idpkbind) 
idpkconvert = int(idpkhash, 16) 


for x in range(len(self.chain)): 


[x 


+ \ 


self.witness[x] = pow(self.witness[x], idpkconvert, \ self.n) 


self.witness.append(self.accu) 
Self.accu = pow(self.accu, idpkconvert, self.n) 


# Reset the current list of transactions 
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Chin 
汤 凌 邦 ， 等 : 基于 区 块 链 的 身份 认证 机 制 的 效率 优化 方法 研究 


self.current_transactions = [] 
self.chain.append(block) 


return block 


块 高 度 : 390610 
头 哈 希 : 00000000002c8...ae5 


父 哈 希 : 00000000003f2...fld 
Merkle 根 : c8572f19112...456d 
时 间 戳 : 2018-3-1 10:35:12 
难度 : 93448670796.32380676 
Nonce: 1779633802 


Identity: mercer4524qs 
Public key: Xup1R0c...JFJ83 
Accu: cbf53bef6ea6d4...728f 


块 高 度 : 390609 
头 哈 希 : 00000000003f2...fld 


父 哈 希 : 00000000005e1...e25 
Merkle 根 : c59e2d8242...eflc 
时 间 惟 : 2018-3-1 10:25:07 
难度 : 93448670796.32380676 
Nonce: 4005489007 


Identity: 8sJk3jcLsldf3 
Public key: sraz362...JV34A3 
Accu: b528c06158b6df...7878 


块 高 度 : 390608 
头 哈 希 ，00000000005e1...e25 


父 哈 希 : 000000000079f...e4d 
Merkle 根 : 2ellabce579...e12a 
时 间 戳 : 2018-3-1 10:21:36 
难度 : 93448670796.32380676 
Nonce: 2181060612 


Identity: Lilygancelor 
Public key: fVF9U63s...76t] 
Accu: 931143eecaf47f...e461 


图 1 区 块 结构 


3.2 ”结果 与 分 析 

本 文 以 三 台 配 置 Windows7 64 位 系统 ，Intel® XeonG) CPU 
E7520 @1.86 GHz， 内 存 DDR3 16 GB 的 PC 作为 实验 基础 。 

实验 先 建立 了 5 000~30 000 条 ， 步 长 5 000 的 六 组 身份 一 
公 钥 对 数据 集 ， 其 中 身份 由 6~20 位 的 数字 和 大 小 写字 母 随机 
组 成 ， 公 钥 由 15 位 数字 和 大 小 写字 母 随机 组 成 ， 强 RSA 密码 
累加 器 门限 N 为 十 进 制 150 位 的 正 整数 ， 是 两 个 通过 
Miller-Rabin 素性 检测 算法 随机 生成 的 强 素数 的 乘积 ;种 子 x 
随机 取 一 个 不 大 于 的 正 整数 。 

接 下 来 在 六 组 数据 集 上 ， 实 验 遍 历 区 块 链 查 询 的 传统 认证 
方法 和 引入 密码 累加 器 的 认证 方法 的 耗 时 对 比 ， 如 图 2 所 示 。 
图 2 可 以 看 出 ， 传 统 方法 中 遍历 区 块 链 的 时 间 与 区 块 链 
长 度 成 线性 关系 , 而 利用 强 RSA 安全 假设 的 累加 器 进行 验证 与 
区 块 链 长 度 无 关 ， 耗 时 仅 为 累加 器 单 步 验证 运算 的 时 间 ， 在 某 
常数 的 小 范围 内 波动 ， 此 为 不 同 运算 时 刻 机 器 状况 差异 所 致 。 

然而 在 实际 情况 下 ， 密 码 累加 器 的 更 新 和 维护 需 额 外 增加 
计算 量 。 本 文 考 虑 两 种 方法 : 


T 
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a) 挖 矿 节点 负责 维护 额外 维护 所 有 成 员 见 证 。 


b) 完 整 节点 只 需 维护 


图 1 中 的 区 块 结构 ， 挖 矿 节点 无 需 计 


算 除 自身 外 其 他 节点 见证 ， 各 节点 自行 依照 区 块 内 容 计算 更 新 


自身 见证 。 


块 ， 并 更 新 自身 见 


且 非 随时 在 线 的 用 
人 


户 ， 在 离线 时 记录 当前 区 块 高 
的 区 


上 述 两 种 情况 与 传统 无 累加 器 区 块 链 的 生成 速度 如 图 3 所 


夏 。o 
30 
一 一 传统 方法 
25| 一 一 本 文 方法 
侈 
部 
区 
点 
oC - , , 
0.5 1 1.5 2 2.5 3 
区 块 链 长 度 x104 
图 2 单 步 验证 时 间 对 比 
600 
一 一 传统 方法 
so0| “| 一 一 矿工 计算 见证 
一 一 矿工 不 计算 见证 
全 
呈 
入 
E33 
100 200 300 400 500 600 700 800 900 
区 块 个 数 /个 
图 3 不 同方 法 下 构建 区 块 链 所 需 时 间 对 比 
图 3 说 明了 引入 累加 器 后 ， 若 需 矿工 维护 所 有 节点 见证 ， 


则 耗 时 以 非 线 性 增长 ， 设 当前 区 块 链 长 度 为 n"， 则 矿工 须 比 不 
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图 4 不 同 规模 模 数 下 的 单 步 认证 
图 4 说 明了 随 着 模 数 变 大 ，| 


增长 ， 但 当 模 超过 1 024 


时 间 
户 的 单 步 认 证 时 间 成 非 线 性 
bit 〈 约 十 进 制 308 位 ) 时 ， 仍 为 毫秒 


级 ， 对 于 普通 用 户 处 于 完全 可 接受 的 范围 。 
1400 
一 一 矿工 计算 见证 
1200 上 和 区 (十 进 制 150 位 模 ) 2 
一 一 一 矿工 计算 见证 
二 二 二 太太 计算 见证 (十 进 制 320 位 模 ) 并 


所 用 时 间 / 移 


图 5 


区 块 链 构 建 实验 ， 并 将 
法 1 时 ， 随 着 模 数 变 大 ， 


400 500 600 
区 块 个 数 / 个 


不 同 模 数 下 两 种 方法 的 区 块 链 构 建 时 间 
将 N 改 为 符合 前 文 条 件 
结果 与 之 前 对 比 。 如 图 


的 十 进 制 320 位 正 整数 ， 再 次 进行 
5 所 示 ， 采 用 方 
区 块 链 构建 时 间 明 显 增 大 ， 而 采用 方 


法 2 时 ， 矿 工 每 构建 一 个 区 块 ， 只 需 做 更 新 累加 值 的 运算 ， 因 


模 数 变 大 而 增加 的 计算 量 


构建 时 间 与 之 前 基本 相同 。 
见 ， 本 文 引入 密码 累加 器 ， 并 采用 节点 更 新 
F 方 法 中 ， | 


由 以 上 结果 可 


E 护 自身 见证 的 认 i 


只 会 增加 毫秒 级 的 时 间 耗 费 ， 区 块 链 


j 户 的 认证 效率 相 较 传统 方法 得 


的 计算 量 相 较 传统 方法 增 


多 
到 提升 ， 并 随 区 块 链 长 度 增 加 而 不 断 提 高 ; 


矿工 在 构建 区 块 时 
加 不 大 ,与 PoW 计算 量 相 比 可 忽略 不 


gt a ee oo 过 次 由 

维护 其 他 节点 见证 时 多 做 1+2+…+4-D-。 2 次 网 证 更 新 运 。 计 ， 并 且 在 为 保证 安全 性 增 大 模 数 时 ， 系 统 仍 具有 很 好 的 可 用 

算 。 而 无 需 计算 其 它 节点 见证 的 情况 下 ， 各 节点 每 生成 一 个 区 。 性 。 

快 ， 比 传统 方法 多 做 一 步 轩 加 器 求人 运算 ， 帮 时 出 线 与 传统 方 。 4 。 全 未 语 

法 接近 重合 ， 说 明 各 节点 维护 自身 见证 ， 不 会 影响 完整 节点 的 

计算 量 。 最 后 ， 在 实际 情况 中 ， 采 用 至 少 1 024 bit 的 模 数 保证 近 几 年 来 比特 币 和 各 种 竞争 币 受到 了 越 来 越 多 关注 ， 而 大 

强 RSA 假设 下 累加 器 的 安全 性 , 需要 实验 证 明 模 数 规模 较 大 的 。 ”多 停留 在 数字 货币 的 层面 ， 作 为 底层 技术 ， 区 块 链 的 落地 应 用 

情况 下 仍 能 保证 系统 效率 。 不 多 。 本 文 紧 跟 技 术 前 沿 ， 研 究 区 块 链 在 去 中 心 化 PKI 上 的 
应 用 并 加 以 改进 。 首 先 深入 分 析 研 究 了 密码 累加 器 的 定义 和 作 


里 ， 分 析 比 较 了 主流 累加 器 在 不 同 评判 标准 


下 的 特点 。 进 


录用 稿 


一 步 引入 密码 累加 上 器， 尝试 改 进 身份 一 公 钥 认证 环节 的 效率 ， 
从 而 降低 整个 认证 过 程 的 时 间 和 空间 复杂 度 ,根据 不 同 累加 器 ， 
可 将 传统 身份 一 公 钥 查询 和 验证 过 程 的 时 间 复 杂 度 从 O(n) 降 
为 O(log(n)) 甚 至 O(1)。 最 后 通过 实验 ， 验 证 了 引入 强 RSA 假 
设 的 累加 器 后 ， 身 份 一 公 钥 对 验证 环节 耗 时 为 常数 ， 密 码 累加 
器 的 运行 算法 具有 正确 性 和 有 效 性 ， 大 大 提升 了 去 中 心 化 PKI 
在 链 上 数据 庞大 时 的 验证 效率 。 
于 现 有 的 强 RSA 假设 累加 器 不 具备 强健 性 , 在 不 存在 可 
理 者 时 有 一 定局 限 性 ， 无 法 保证 限 门 信息 不 被 用 于 进行 强 
删除 用 户 等 不 合法 操作 。 在 后 续 研究 中 可 加 以 改进 ， 采 用 基 
于 抗 碰撞 器 , 使 系统 具有 更 
好 的 强健 
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